Risikofaktor Benutzerdaten: So schützen Sie Ihre IT-Umgebung mit UEBA Die Benutzer – das schwächste Glied in der Kette Sie müssen eine ständige Flut von Bedrohungen bewältigen, von denen Sie manchmal nicht einmal wissen, dass sie existieren. Und Tatsache ist, dass hinter vielen Bedrohungen und Verstößen Ihre eigenen Benutzer stehen – ob nun in böser Absicht oder unbewusst. Eine aktuelle Untersuchung illustriert dies: In 69 Prozent der befragten Unternehmen hatten in jüngster Zeit Innentäter versucht, Daten auszuschleusen, und an 28 Prozent aller Sicherheitsverstöße waren interne Akteure beteiligt.1 Benutzer sind ein typisches Einfallstor für Angriffe und schwer zu überwachen und zu schützen. Um der Flutwelle von Angriffen wirksam zu begegnen, müssen Sie Ihre Benutzer besser im Blick haben – und dazu sollten Sie die leistungsstarken Fähigkeiten von User & Entity Behavior Analytics (UEBA) nutzen. UEBA-Technologien überwachen die Daten zu den Benutzeraktivitäten, die mit Protokollen, Audit-Trails und speziellen Sensoren erfasst werden, auf bekannte Bedrohungen und Verhaltensänderungen. Dadurch kommen sie Aktivitäten auf die Spur, die ansonsten unentdeckt bleiben könnten, und verkürzen die Zeit zur Erkennung und Entschärfung von Bedrohungen. Wo solche Technologien fehlen, kann es für den Chief Information Security Officer (CISO) schwierig werden, das Benutzerverhalten zu verfolgen. Dieses Whitepaper zeigt Ihnen, wie UEBA das Risiko für Ihr Unternehmen verringert und Sie befähigt, schneller auf Angriffe zu reagieren. Es beschreibt die verschiedenen Arten von Benutzern, Bedrohungen und Anwendungsfällen, die UEBA adressieren kann. Sie erfahren, wie Ihnen die UEBA-Technologie zentralen Überblick über Ihre Benutzer vermittelt und Ihnen hilft, potenzielle Bedrohungen schneller zu erhärten und zu untersuchen, damit Sie das Risiko für Ihr Unternehmen minimieren können. Was ist UEBA? UEBA-Lösungen nutzen analytische Methoden, um Standardprofile von Benutzern und Entitäten (z. B. Hosts, Anwendungen, Netzwerkverkehr und Datenspeichern) über Zeit- und Peergruppen-Horizonte hinweg aufzubauen und die Standardverhaltensweisen zu ermitteln. Aktivitäten, die von diesen Verhaltensmustern abweichen, werden als verdächtig markiert und mit vorgefertigten Analysen untersucht, um Bedrohungen und potenzielle Sicherheitsvorfälle zu erkennen. Quelle: Market Guide for User and Entity Behaviour Analytics (Gartner) 1 2018 Data Breach Investigation Report, Verizon, April 2018 WWW.LOGRHYTHM.COM SEITE 3 Risikofaktor Benutzerdaten: So schützen Sie Ihre IT-Umgebung mit UEBA Das Angriffsspektrum Ihr Unternehmen ist einer Vielzahl potenzieller Angriffe ausgesetzt. Die Palette reicht von Drive-by-Malware, die sich gegen Zufallsopfer oder leichtsinnige Benutzer richtet, bis hin zu gezielten Attacken, die mit neuartigen Techniken unbekannte Schwachstellen ausnutzen. Und die Zahl der Angriffe wächst. 2017 haben sich die Angriffe auf Unternehmen nahezu verdoppelt2, und der Trend setzt sich fort. Im Durchschnitt findet alle 39 Sekunden ein Hackerangriff statt. 3 Wenn Sie das Spektrum der möglichen Angriffe verstehen, bei denen jeweils sowohl die Schwachstelle als auch der zugehörige Exploit bekannt oder unbekannt sein können, können Sie benutzerbezogene Bedrohungen für Ihr Unternehmen leichter erkennen. Eine Schwachstelle ist eine Schwäche oder unbekannte Funktionalität in einem Protokoll, einer Anwendung oder einem Ereignis, die Systeme anfällig macht und Angreifern Handlungsmöglichkeiten eröffnet. Ein Exploit oder eine Methode ist die Aktion, die Angreifer durchführen, um die Schwachstelle auszunutzen. Es gibt zahlreiche Angriffsmethoden, wie etwa Malware, Brute-Force-Angriffe, SpeerPhishing und Zero-Day-Angriffe. Bekannte Bedrohungen machen sich bereits bekannte Taktiken, Techniken und Prozeduren (TTPs) zunutze. TTPs lassen sich am besten durch szenariobasierte Analyseverfahren erkennen. Bekannt-bekannte Angriffe In Abb. 1 sind die bekannt-bekannten Angriffe auf der linken Seite des Spektrums dargestellt. Bei diesen Angriffen sind die angewandten Taktiken, Techniken und Verfahren (TTPs) in der IT-Security-Community bereits bekannt, sowohl in Bezug auf die Schwachstelle selbst als auch im Hinblick auf den Exploit oder die Methode zur Ausnutzung der Schwachstelle. Diese Angriffe sind gängig und zahlreich, da die nötigen Werkzeuge weit verbreitet sind und auch von weniger erfahrenen Hackern leicht eingesetzt werden können. Einige Beispiele: Gängige Phishing-E-Mails: Dabei gibt sich der Angreifer als legitimes Unternehmen oder legitime Person aus, um zunächst ein System und Systembenutzer zu kompromittieren und so in ein Netzwerk einzudringen. Auch können Phishing-E-Mails Betrugsversuche sein, bei denen beispielsweise Geld eingefordert wird, um eine gefälschte Rechnung zu bezahlen. Die E-Mails bei einem solchen Angriff enthalten bösartige Links oder Anhänge, die oft gängige Malware beinhalten, und richten sich an einen breiten Kreis von Opfern. Pass-the-Hash-Angriffe: Diese Technik erlaubt es einem Angreifer, sich seitwärts durch ein Netzwerk zu bewegen. Der Angreifer stiehlt den Hash eines Benutzerpassworts und verwendet ihn wieder, ohne das Passwort zu knacken, um so eine neue authentifizierte Sitzung im selben Netzwerk zu erstellen. Hochentwickelte Plattformen zur Bedrohungserkennung können feststellen, wenn ein Angreifer diese Technik zu nutzen versucht, um sich als authentifizierter Benutzer auszugeben. Unbekannte Bedrohungen setzen Techniken und Methoden ein, die derzeit noch nicht bekannt sind. Sie verwenden Zero-Day-Exploits und speziell angepasste Schadprogramme, die Signaturanalysen umgehen. Wussten Sie schon? 59 % der Mitarbeiter stehlen unternehmenseigene Daten, wenn sie kündigen oder entlassen werden. Quelle: Heimdal Security 2 2017 was ‘worst year ever’ in data breaches and cyberattacks, thanks to ransomware, TechRepublic, 25. Jan. 2018 // 3 Hackers Attack Every 39 Seconds, Security Magazine, 10. Feb. 2017 SEITE 4 WWW.LOGRHYTHM.COM